Linux - 試行されたユーザー名とパスワードのログ記録

Linux - 試行されたユーザー名とパスワードのログ記録

私はUbuntu Serverを使用していますが、潜在的な攻撃者が試したユーザー名とパスワードを記録する方法があるかどうか疑問に思います。

失敗したすべての試みをgrepして見ることができますが、/var/log/auth.log彼らが試しているユーザー名とパスワードが何であるかを知りたいです。

答え1

ログインの詳細を設定した後、失敗したユーザー名1を表示できますが、sshd_config失敗したパスワードは表示されません。これは、潜在的なセキュリティ上の問題となり、ユーザーのプライバシーを侵害する可能性があるためです(たとえば、間違ったパスワードを入力する可能性があります)。パスワードはいくつかのログに漏洩します。ファイル)。

すべてのパスワードは非常に機密性の高いデータとして扱われ、メモリにのみ保存され、ログには記録されないため、セキュリティの状況から漏えいしません。

このため、標準の本番セキュリティ製品ではなく、このユースケースに合わせて特別にカスタマイズされたいくつかのハニーポットを使用する必要があります。

1man sshd_config詳しくは参考資料をご覧ください。

答え2

これが行われていない理由は、この作業が行われたサイトで何が起こったのかを見ると簡単にわかります。

一度は、間違ったパスワードを記録するウェブサイトのパスワードハッシュ強度を高めるよう求められたことがあります(彼らがそうする理由は想像できません)。ユーザーの不便を最小限に抑えるために、まずログイン時にユーザーを自動的に変換するようにしましたが、しばらくログインしていないユーザーもセキュリティ強化が必要であるため、推測されたパスワードをすべてより高いハッシュベースに変換してクラックを試みました。

Facebook、辞書、順列などの大規模な漏洩のために、既知のパスワードのリストなど、私が知っているすべてを多言語で試した後、1週間ログインしていないユーザーには見つからなかった約4,000のパスワードがありました。 。ひびが入る。

私は過去数年間の間違ったパスワード履歴を取得し、復号化できないパスワードを実行してクラックしました。残りの四半期。つまり、複数の管理者アカウントを含むシステムのハードパスワードの4分の1を推測しました。つまり、4,000人ではなく、3,000人のユーザーパスワードだけをリセットすればよいという意味です。

したがって、悪意のある攻撃者にとって、これらのログの価値はいくら強調しても過度ではないと思います。

失敗したパスワードを記録する妥当な理由はなく、そうしないでください。データ侵害が発生すると、多くのユーザーのログイン情報が公開されます。これらの「間違ったパスワード」は、再度変更したパスワード、システムの他のアカウントで使用したパスワード、または他のシステム(銀行、電子メールなど)で使用したパスワードです。

このようなログを維持すると、セキュリティの面で実質的な利点なしにユーザーを危険にさらすことができます。

関連情報